domingo, 31 de diciembre de 2006

Resumen de seguridad de 2006 (y III)

Termina el año y desde Hispasec echamos la vista atrás para recordar y
analizar con perspectiva lo que han sido los últimos meses de 2006 en
cuestión de seguridad informática. Estas son las que consideramos las
noticias más importantes de cada mes publicadas en nuestro veterano
boletín diario. En 2007, una-al-día alcanzará las 3000 publicaciones.

Septiembre 2006:

* Panda alerta de un nuevo virus que se distribuye a través de correo
electrónico. Los sistemas infectados ayudan a reenviar nuevos virus con
ayuda de mensajes cortos a móviles españoles. El SMiShing se cuela en
nuestro país.

* De nuevo, una organización independiente publica un parche para
solucionar temporalmente el grave problema que supone el fallo VML en
Internet Explorer, que es aprovechado de forma masiva para la
distribución e instalación de todo tipo de malware. Se constituye
Zeroday Emergency Response Team (ZERT) un equipo de programadores
dispuesto a crear parches temporales para mitigar grandes problemas de
seguridad mientras aparece la solución oficial.

* Se descubre un nuevo troyano bancario que combina la captura del
teclado físico con una técnica optimizada para los teclados virtuales.
Diseñado específicamente contra los usuarios de diversas
entidades, muestra la eficacia y evolución de este tipo de malware.

Octubre 2006:

* Mischa Spiegelmock y Andrew Wbeelsoi anuncian en la conferencia hacker
ToorCon una vulnerabilidad en Mozilla Firefox que se supone podría
permitir a un atacante remoto ejecutar código arbitrario. Tras muchas
conjeturas, todo resulta ser una broma pesada y la vulnerabilidad supone
sólo un problema de denegación de servicio. Los chicos consiguen sus 15
minutos de fama.

* Microsoft retira a Cyril Paciullo, creador de Messenger Plus!, el
reconocimiento de MVP (Most Valuable Professionals) tras reconocer que
la aplicación por la que se le premiaba se distribuía junto con un
programa espía.

* Aparece IE7, 5 años después que su predecesor.

* Alan Cox sacude las conciencias de la comunidad de código abierto con
afirmaciones como "Lo que aparece en los medios de comunicación como que
el código abierto es seguro y más fiable y que tiene menos fallos son
afirmaciones muy peligrosas", apelando a la autocomplaciencia en
cuestión de seguridad.

Noviembre 2006:

* Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", otro investigador relacionado con el proyecto Metasploit
desarrolla la iniciativa "month of the kernel bugs". La idea consiste en
publicar un nuevo error en el kernel de cualquier sistema operativo
durante todos los días de noviembre.

* Mientras Litchfield afirma que "comparado con Oracle, Microsoft SQL
Server es más seguro", Cesar Cerrudo anuncia la semana de los fallos en
Oracle. Finalmente sería cancelada. El motivo que dio más tarde es que
uno de sus clientes se vería indirectamente afectado por la revelación
de estos fallos y podría causarle problemas: "no que sus bases de datos
fuesen hackeadas, sino serios problemas de negocio".

Diciembre 2006:

* El creador del mes de los fallos en el núcleo anuncia "el mes de los
fallos en Apple" para enero.

* Se descubre un nuevo caso de "alarma injustificada" en el caso del
supuesto malware que se propaga por Skype.

* Un gusano ataca la red MySpace.com, aprovechando un fallo en el
programa Quicktime (usado para ver vídeos en el portal). El gusano
modifica los perfiles de los usuarios añadiendo en sus espacios
personales enlaces a páginas fraudulentas.


Sergio de los Santos
ssantos@hispasec.com



sábado, 30 de diciembre de 2006

Resumen de seguridad de 2006 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y
analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2006
en cuestión de seguridad informática. Estas son las que consideramos las
noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2006:

* El servicio de análisis online de archivos VirusTotal añade el motor
antivirus proporcionado por Microsoft, además de presentar considerables
mejoras de rendimiento y presentación de resultados al usuario.

* Steve Wiseman descubre casi por casualidad, una importante
vulnerabilidad en VNC (un software de administración remota muy usado
en distintos sistemas operativos que permite interactuar con el
escritorio). El fallo permitía eludir de forma trivial la autenticación
y acceder al equipo sin necesidad de conocer la contraseña. Muchas
máquinas gestionadas con este programa de forma remota son "secuestradas".

Junio 2006:

* Comienza la retahíla de 0days para productos Microsoft Office que
aparecen días después de las actualizaciones mensuales de la compañía.
Esta "política" de revelación de vulnerabilidades y descubrimiento de
fallos de forma estratégica en la suite de Microsoft se prologaría
durante todo el año.

* Se conoce que HP ha hospedado en su página web, durante un tiempo
indefinido, uno de sus controladores de impresora infectado por FunLove,
un virus de hace casi seis años.

* Tras una controversia mediática y un debate importante producido en
el sector, Microsoft opta finalmente por poner a disposición de los
usuarios una nueva versión de WGA (Windows Genuine Advantage) que no
efectúa "llamadas a casa" (phone home).

Julio 2006:

* HD Moore inaugura con gran éxito (tras comprobar la repercusión e
imitadores posteriores) su mes de los fallos en navegadores, donde
publica en un blog (al estilo una-al-día) un fallo o bug en navegadores
por cada día del mes. Algunos de ellos, más tarde, se revelaron como
grandes problemas de seguridad que fueron aprovechados de forma masiva.

* Se detecta una vulnerabilidad 0day en las versiones del Kernel Linux
pertenecientes a la rama 2.6 que facilita la escalada de privilegios
local. Este problema es usado para atacar sistemas base de Debian, que
a través de una cuenta de usuario sin privilegios comprometida, logra
hacerse con el control de uno de los servidores del proyecto.

Agosto 2006:

* Microsoft publica el boletín MS06-042, en el que se recomienda la
aplicación de un parche acumulativo para Internet Explorer que soluciona
ocho problemas de seguridad. Dos semanas
después se hace público que este parche introducía una nueva
vulnerabilidad crítica. Eeye, que detecta el grave error, protagoniza
una guerra verbal contra Microsoft.


Sergio de los Santos
ssantos@hispasec.com



viernes, 29 de diciembre de 2006

Resumen de seguridad de 2006 (I)

Termina el año y desde Hispasec echamos la vista atrás para recordar
y analizar con perspectiva (al más puro estilo periodístico) lo que
ha sido 2006 en cuestión de seguridad informática. En tres entregas
(cuatro meses por entrega) destacaremos muy brevemente lo que
hemos considerado las noticias más importantes de cada mes
publicadas en nuestro boletín diario.

Enero 2006:

* Comienza el año con la vulnerabilidad WMF que afecta a sistemas
Windows en pleno apogeo, miles de archivos JPG y GIF infectados circulan
en Internet. La falta de un parche oficial por parte de Microsoft,
obliga a Ilfak Guilfanov a publicar una solución a la que acuden
millones de usuarios colapsando su página. El éxito de esta práctica
inspiraría este mismo año en septiembre, la creación de Zeroday
Emergency Response Team (ZERT).

* Microsoft adelanta la publicación de su parche para WMF y mientras
Steve Gibson publica su curiosa teoría de conspiración. Afirmaba que
esa vulnerabilidad (presente desde Windows 3.x) podría haber sido
intencionada. La insinuación de puerta trasera incluida a propósito
en Windows le valió grandes críticas e incluso burlas descaradas.

* Se cumplen 20 años del primer virus masivo para PC, Brain.

Febrero 2006:

* Los medios no especializados le dan cancha al inofensivo virus Kama
Sutra. Sin suponer técnicamente ninguna novedad (sobrescribía archivos
de documentos un día concreto), acapara noticias y análisis. Tras una
"tensa" espera, el día de su activación finalmente queda en una simple
anécdota y muy pocos se ven afectados.

* Aparecen un par de troyanos que afectan a MAC OS X de Apple. Comienza
un debate sobre la seguridad de este sistema operativo.

Marzo 2006:

* "Guillermito" pierde la apelación en el juicio con Tegam y es
condenado al pago de 14.300 euros. Este investigador publicó en su sitio
web personal en marzo de 2002, varias vulnerabilidades en Viguard,
software antivirus de Tegam International que se anunciaba como 100%
seguro. Tras la condena, en su página recibe donaciones para ayudarle a
comprar "un antivirus nuevo" (en Francia está prohibido solicitar dinero
para pagar una multa).

* Importante problema de seguridad de Sendmail obliga a actualizar
millones de sistemas de correo y distribuciones.

Abril 2006:

* Kaspersky anuncia una nueva prueba de concepto capaz de infectar tanto
a sistemas operativos Windows de Microsoft como GNU/Linux en general. Lo
bautiza como Virus.Linux.Bi.a/Virus.Win32.Bi.a, y vuelve a alertar sobre
la posibilidad de que el mercado de los virus se abra para ambas
plataformas.


Sergio de los Santos
ssantos@hispasec.com



jueves, 28 de diciembre de 2006

Múltiples vulnerabilidades en Novell NetMail 3.x

Se han encontrado múltiples vulnerabilidades en Novell NetMail que
pueden ser aprovechadas por atacantes remotos para provocar
denegaciones de servicio o ejecutar código arbitrario en el sistema.

* Un fallo se debe a un desbordamiento de memoria intermedia en el
servicio NMAP a la hora de procesar comandos STOR mal formados. Esto
puede ser aprovechado por atacantes remotos autenticados para ejecutar
código arbitrario.

* La segunda vulnerabilidad se debe a un desbordamiento de memoria
intermedia en el servicio IMAP que no valida correctamente la longitud
de los valores proporcionados por el usuario en el servicio IMAP para
especificar la continuación de una petición. Esto puede ser
aprovechado por atacantes remotos autenticados para ejecutar código
arbitrario.

* El tercer fallo se debe a un desbordamiento de memoria intermedia en
el servicio IMAP a la hora de procesar comandos APPEND mal formados.
Esto puede ser aprovechado por atacantes remotos autenticados para
ejecutar código arbitrario. Un cuarto fallo en este comando permite
hacer que el sistema deja de responder provocando una denegación de
servicio.

* El quinto fallo se debe a un desbordamiento de memoria intermedia
en el servicio IMAP a la hora de procesar comandos SUBSCRIBE mal
formados. Esto puede ser aprovechado por atacantes remotos
autenticados para ejecutar código arbitrario.

Novell ha publicado las siguientes actualizaciones para evitar estos
problemas:

Novell NetMail 3.52e FTF 2 para NetWare :
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974927.htm

Novell NetMail 3.52e FTF 2 para Windows :
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974928.htm

Novell NetMail 3.52e FTF 2 para Linux :
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974929.htm


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities: Buffer Overrun in NetMail 3.52
http://www.novell.com/support/search.do?cmd=displayKC&externalId=3096026&sliceId=SAL_Public

Novell NetMail NMAP STOR Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-06-052.html

Novell NetMail IMAP Verb Literal Heap Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-06-053.html

Novell NetMail IMAP APPEND Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-06-054.html

Novell NetMail IMAPD subscribe Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=454

Novell NetMail NMAP STOR Buffer Overflow Vulnerability
http://www.cirt.dk/advisories/cirt-48-advisory.txt

Novell NetMail Buffer Overflows in IMAP and NMAP Services Let
Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Dec/1017437.html

miércoles, 27 de diciembre de 2006

Denegación de servicio remota en Microsoft Windows

Se ha publicado un código que aprovecha una vulnerabilidad que permite,
en remoto, hacer que Microsoft Windows deje de responder. Para que el
fallo tenga efecto, el atacante debe establecer una sesión nula con el
sistema objetivo, lo que mitiga en cierta forma la gravedad del problema.

El día 25 de diciembre se publicó un código que aprovecha un fallo
en el servicio "estación de trabajo" en la forma en la que maneja
peticiones RPC NetrWkstaUserEnum con un valor grande en el campo
maxlen. Si el atacante tiene acceso a este servicio y envía peticiones
especialmente manipuladas, el servicio svchost.exe consumiría toda la
memoria disponible y el sistema dejaría de responder. El problema se
ha confirmado en Windows 2000 y Windows XP SP2 totalmente parcheados,
aunque otros podrían verse afectados.

Debido a las condiciones de este fallo, es mucho más factible que los
ataques se lleven a cabo desde sistemas dentro de una misma red interna.

La misma persona que ha revelado el código (un/a polaco/a que se hace
llamar h07) hizo también público otro exploit a principios de diciembre.
El código permitía provocar una denegación de servicio a través de una
reserva de memoria incorrecta en función GetPrinterData. Para poder
aprovechar el fallo, un atacante debería tener acceso al puerto 445,
usado para manejar el protocolo NetBIOS.

Al contrario que el primero descrito, este código no representaba una
vulnerabilidad desconocida, sino que suponía una nueva forma de atacar
un fallo inherente a la implementación RPC en Windows, conocido desde
finales de 2005. Ya se sabía que este fallo era aprovechable a través
de la función PNP_GetDeviceList del servicio UPNP (Universal plug and
play).

Para ninguno de estos problemas existe parche oficial. Se recomienda
filtrar el acceso a los servicios vulnerables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RPC Memory Exhaustion
http://research.eeye.com/html/alerts/zeroday/20051116.html

MS Windows Workstation Service NetrWkstaUserEnum() 0day Memory
Allocation Remote DoS Exploit
http://www.milw0rm.com/exploits/2879

martes, 26 de diciembre de 2006

El caso del malware que se propaga por Skype

El día 18 de diciembre Websense publicaba en su blog lo que podría ser
motivo de una noticia de alcance: se había detectado un nuevo gusano
que se propagaba a través del popular programa Skype. Si bien llamó la
atención de muchos, el troyano (lo que era en realidad) ha resultado
una vez más una "falsa alarma" pues sus características son comunes y
su propagación extremadamente limitada.

Websense Security Labs dio la voz de alarma, parecía que un nuevo gusano
se estaba propagando a través de Skype, infectando a los usuarios del
programa de forma exponencial. Al día siguiente rectificó, y calificó
al malware de "troyano" que además descargaba nuevos componentes desde
una página web con el fin de robar contraseñas.

Finalmente, tras unos días de confusión donde se ha calificado todo el
asunto de pura exageración, F-Secure venía a poner un poco de orden
aclarando las claves que pueden determinar efectivamente si una amenaza
merece ser tenida en cuenta y alertar de forma responsable.

F-Secure afirmaba que no nos encontrábamos, ni mucho menos, ante un caso
de infección masiva. Al contrario de lo que se barajó en un principio,
no se trataba de un gusano que aprovechaba una vulnerabilidad en
Skype, sino de simples mensajes de chat que pedían al usuario descargar
y ejecutar el troyano. Para colmo, se habían confundido en algunos
medios dos alertas distintas. Una se conocía desde principios de octubre
y otra, de la que hablaba Websense, se trataba de un archivo sp.exe
infectado. Aunque en ningún momento se advierte, se presupone que el
ejecutable infectaría (aunque de una forma burda y consentida) sólo a
usuarios Skype bajo Windows.

Parece que el error de Websense fue adjudicar la característica de
"gusano" al malware detectado. Calificarlo como tal implica cierta
automatización en la replicación, habitualmente aprovechando una
vulnerabilidad del software sobre el que se propaga. El hecho de que
finalmente se trate de un "simple" troyano libera en gran parte la
responsabilidad de Skype y apunta directamente contra el hipotético
usuario descuidado que acepte un archivo desconocido y lo ejecute.

Recuerda en cierta manera este asunto al malware Oomp-A para Mac,
detectado en febrero. Ooomp aprovechaba la lista de contactos de iChat
para enviarse a sí mismo e intentar contagiar a otros usuarios. Su único
mérito era intentar infectar sistemas tan poco atacados hasta ahora como
Mac OS X, aunque igualmente dio bastante que hablar sobre la seguridad
del sistema operativo.

La única novedad, por tanto, es que el troyano puede llegar por Skype e
infectaría a usuarios de Windows, pero para que esto ocurra, el usuario
debe prácticamente consentir la ejecución.

Si bien una noticia sobre un virus puede provocar alarma, que se hable
de una muestra de malware no siempre significa que se haga porque haya
provocado una crisis. Puede llamar la atención por distintas
características: desde el nombre (recordemos el inofensivo kama sutra),
el mensaje que lanza, las plataformas que infecta... En este caso, al
valerse de un popular programa basado en VoIP para esparcirse, este
troyano ha captado la atención de los medios y ahí comienza la
confusión. Una característica peculiar no tiene por qué ir unido a una
infección masiva. Y es que hoy en día quedan realmente pocas crisis
víricas (al menos provocadas por una misma muestra) de las que hablar.

Aunque la alerta ante la amenaza haya sido exagerada, no está de más
recordar que ningún software es invulnerable y que una amenaza seria
y real de este tipo podría darse en un futuro.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Potential Skype worm propagating.
http://www.websense.com/securitylabs/blog/blog.php?BlogID=101

Skype Worm complete FUD
http://beyondthebleedingedge.blogspot.com/2006/12/skype-worm-complete-fud.html

Skype Worm
http://www.f-secure.com/weblog/archives/archive-122006.html#00001054

lunes, 25 de diciembre de 2006

Problema de seguridad en X Display Manager de Sun Solaris 8, 9 y 10

Existe una condición de carrera en el script Xsession ejecutado por
xdm que puede llevar a provocar dos problemas de seguridad.

El primero de los fallos, permitiría a un usuario no privilegiado ver
el fichero de error de xdm de otros usuarios en $HOME/.xsession-error.

Por otra parte, un usuario no privilegiado podría ser capaz de ver el
fichero alternativo de xdm de otro usuario, en ${TMP-/tmp}/xses-$USER,
que se usa cuando el anterior fichero descrito no ha podido ser creado.

Para la versión 10, las actualizaciones están disponibles desde:

Solaris 10 (Plataforma SPARC):
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124457-01-1

Solaris 10 (Plataforma x86):
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124458-01-1

También es posible modificar el fichero de configuración de xdm
(xdm-config) y crear un fichero Xsession nuevo usando estos comandos.

# cd /usr/openwin/lib/X11/xdm
# mv xdm-config xdm-config.orig
# sed -e 's/cp \/dev\/null "$errfile"/umask 077 \&\& cp \/dev\/null "$errfile"/' Xsession > /etc/X11/Xsession
# sed -e 's/\/usr\/openwin\/lib\/X11\/xdm\/Xsession/\/etc\/X11\/Xsession/' xdm-config.orig > xdm-config


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in X Display Manager (xdm(1)) Xsession Script
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102652-1&searchclause=

domingo, 24 de diciembre de 2006

Elevación de privilegios a través de CSRSS en Microsoft Windows

Se ha desvelado una vulnerabilidad en la forma en la que el proceso
CSRSS (Client/Server Runtime Server Subsystem) procesa mensajes
HardError (en un Message Box).

Esta vulnerabilidad permite a usuarios autenticados ejecutar código
arbitrario en el proceso CSRSS.EXE y elevar a privilegios de la cuenta
SYSTEM. Se ven afectados los sistemas Windows 2000, XP, 2003 y
Vista. Microsoft ha reconocido la existencia del problema.

No existe parche oficial. Se recomienda no dar acceso a los sistemas a
usuarios no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

New report of a Windows vulnerability
http://blogs.technet.com/msrc/archive/2006/12/22/new-report-of-a-windows-vulnerability.aspx

sábado, 23 de diciembre de 2006

Actualización del núcleo 2.6.x para Novell SuSE Linux

SuSE ha publicado una actualización para la rama del núcleo 2.6.x que
corrige múltiples problemas de seguridad.

Entre los problemas corregidos se pueden destacar los siguientes:

* Un fallo en el sistema de ficheros UDF podía provocar una denegación
de servicio.

* Un problema en el protocolo ATM manejando la función clip_mkip podría
ser usado por atacantes remotos para hacer que la máquina dejase de
responder.

* Un problema en la función grow_buffers podría ser usado para hacer
que la máquina dejase de responder al usar sistemas de ficheros
corruptos tales como NTFS o ISO9660.

* Un problema en el manejo de IPv6 podría ser usado por atacantes
locales para hacer que la máquina deje de responder.

* Un problema en cramfs podría ser usado para hacer que la máquina
dejase de responder si se montara una imagen especialmente manipulada.

* Problemas en ext3 y ext2 podrían ser empleados para hacer que la
máquina dejase de responder si se montara una imagen especialmente
manipulada.

* Un problema en HFS podría ser usado para hacer que la máquina dejase
de responder si se montara una imagen especialmente manipulada.

* Múltiples vulnerabilidades no especificadas en netfilter para IPv6
podría permitir a atacantes remotos eludir restricciones de seguridad
a través de ataques de fragmentación.

* Un desbordamiento de enteros en el puente de red ioctl podría ser
utilizado por atacantes locales para hacer que la memoria del núcleo
provocase un desbordamiento y elevar privilegios.

Otros problemas afectan a plataformas específicas como Itanium, i386,
PowerPC o S7390.

Se recomienda actualizar a través de la herramienta automática YaST
Online Update (YOU).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Announcement: Linux kernel
http://lists.suse.com/archive/suse-security-announce/2006-Dec/0009.html

viernes, 22 de diciembre de 2006

Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun

Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se
han encontrado numerosos problemas de seguridad no especificados que
afectan a diferentes versiones. Estas herramientas también se engloban
dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son
productos destinados a los desarrolladores de programas Java. JRE (Java
Runtime Environment) es un entorno que permite a las aplicaciones Java
ejecutarse en el sistema e interpretar gran cantidad de contenido web.

Se han encontrado dos vulnerabilidades relacionadas con la serialización
de Java Runtime Environment que podrían, de forma independiente,
permitir a un applet no confiable o aplicación elevar sus privilegios.

Estas vulnerabilidades están solucionadas en las versiones (para
Windows, Solaris y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.

Se han encontrado dos vulnerabilidades más en Java Runtime Environment
que podrían, de forma independiente, permitir a un applet acceder a los
datos de otro.

El primer problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 6 o posterior.
SDK y JRE 1.4.2_11 o posterior.
SDK y JRE 1.3.1_19 o posterior.

El segundo problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 7 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Por último, se ha encontrado dos vulnerabilidades de desbordamiento de
memoria intermedia en Java Runtime Environment que podrían permitir de
forma independiente a applets elevar sus privilegios. Esto le permitiría
darse permisos de escritura en ficheros locales o ejecutar aplicaciones
accesibles por el usuario que ejecutar el applet no confiable.

Estos problemas han sido solucionados en las versiones (para Windows,
Solaris, y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Para conocer la versión instalada en el sistema, se debe escribir en una
consola (tanto en Windows como Linux o Solaris):

java -version

Según la rama operativa en el sistema, se puede actualizar desde
http://java.sun.com


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the Java Runtime Environment may Allow
Untrusted Applets to Elevate Privileges and Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1

Security Vulnerabilities Related to Serialization in the Java Runtime
Environment may Allow Untrusted Applets to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102731-1

Security Vulnerabilities in the Java Runtime Environment may Allow an
Untrusted Applet to Access Data in Other Applets
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102732-1

jueves, 21 de diciembre de 2006

Denegación de servicio a través de ficheros MIDI en Windows Media Player

Se ha encontrado una vulnerabilidad en Microsoft Windows Media Player
que pude ser aprovechada por atacantes para provocar una denegación de
servicio.

El problema se debe a un error de división por cero a la hora de
manejar ficheros MIDI especialmente manipulados con cabeceras que
contengan campos mal formados (número de pistas, por ejemplo). Esto
podría provocar que la aplicación dejase de responder si se abre un
fichero especialmente manipulado.

No existe parche oficial. Se recomienda no abrir ficheros no
solicitados o provenientes de fuentes desconocidas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Windows Media Player MIDI File Format Handling Denial of Service
Vulnerability
http://www.frsirt.com/english/advisories/2006/5039

miércoles, 20 de diciembre de 2006

Actualización de productos Mozilla corrige hasta diez vulnerabilidades

En la última actualización, se han corregido hasta diez vulnerabilidades
en Mozilla Firefox, SeaMonkey y Thunderbird que pueden ser aprovechadas
por atacantes para ejecutar código arbitrario en el sistema afectado o
eludir restricciones de seguridad.

De forma resumida, la actualización ha solucionado:

* Problemas de corrupción de memoria en el motor JavaScript y el motor
"layout" que podrían ser aprovechados para hacer que la aplicación deje
de responder o ejecutar código arbitrario.

* Un fallo de desbordamiento de memoria intermedia a la hora de usar la
propiedad CSS cursor para establecer el cursor en ciertas imágenes en
Windows. Esto podría ser aprovechado para hacer que la aplicación deje
de responder o ejecutar código arbitrario.

* Un error en el manejo de la función watch de JavaScript que podría
permitir a un atacante ejecutar código arbitrario en el sistema.

* Un problema de corrupción de memoria en LiveConnect, que podría ser
ser aprovechado para hacer que la aplicación deje de responder o
ejecutar código arbitrario.

* Un error a la hora de manejar el atributo src de un elemento IMG
cargado en un marco. Esto podría ser aprovechado para perpetrar ataques
de cross site scripting.

* Un desbordamiento de memoria intermedia a la hora de procesar correos
con las cabeceras Content-Type o rfc2047-encoded excesivamente largas,
podría permitir a atacantes hacer que la aplicación deje de responder o
ejecutar código arbitrario.

* Una corrupción de memoria a la hora de manejar comentarios SVG podría
permitir a un atacante ejecutar código arbitrario en el sistema.

* La funcionalidad Feed Preview contiene un fallo que podría permitir
la revelación de información sensible.

* Existe por último una regresión en una función prototipo, que podría
permitir eludir restricciones de seguridad o perpetrar ataques de cross
site scripting.

Varias alcanzan el estado de críticas, por lo que se recomienda
actualizar de inmediato.

Es posible actualizar a Mozilla Firefox 2.0.0.1 o 1.5.0.9 desde
http://www.mozilla.com/firefox/, actualizar a Mozilla Thunderbird
1.5.0.9 desde http://www.mozilla.com/thunderbird/ y a Mozilla SeaMonkey
1.0.7 desde http://www.mozilla.org/projects/seamonkey/. Todas las
versiones anteriores son vulnerables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2006-68
http://www.mozilla.org/security/announce/2006/mfsa2006-68.html

Mozilla Foundation Security Advisory 2006-69
http://www.mozilla.org/security/announce/2006/mfsa2006-69.html

Mozilla Foundation Security Advisory 2006-70
http://www.mozilla.org/security/announce/2006/mfsa2006-70.html

Mozilla Foundation Security Advisory 2006-71
http://www.mozilla.org/security/announce/2006/mfsa2006-71.html

Mozilla Foundation Security Advisory 2006-72
http://www.mozilla.org/security/announce/2006/mfsa2006-72.html

Mozilla Foundation Security Advisory 2006-73
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html

Mozilla Foundation Security Advisory 2006-74
http://www.mozilla.org/security/announce/2006/mfsa2006-74.html

Mozilla Foundation Security Advisory 2006-75
http://www.mozilla.org/security/announce/2006/mfsa2006-75.html

Mozilla Foundation Security Advisory 2006-76
http://www.mozilla.org/security/announce/2006/mfsa2006-76.html

martes, 19 de diciembre de 2006

Robo de claves a través de gestores de contraseña

Hace unos días salió a la luz una vulnerabilidad, que se ha venido
a denominar Reverse Cross-Site Request (RCSR), capaz de afectar a
dominios completos en los que los usuarios pueden introducir
libremente código HTML.

El Reverse Cross-Site Request (RCSR) es una técnica que hace uso de los
tags de formulario para enviar información sensible a una dirección
maliciosa. En concreto, la información que el ataque intenta capturar
son las contraseñas que automáticamente se rellenan por medio de la
funcionalidad que integran diversos navegadores.

Para comprender mejor el caso pensemos en dominios tales como
geocities.com, myspace.com o cualquier otro espacio público en los que
los usuarios pueden crear sus páginas libremente. Al activar el gestor
de contraseñas conseguimos que al tener una cuenta legítima en estos
dominios, en la próxima visita que hagamos al mismo no tengamos que
volver a escribir nuestros datos, puesto que serán automáticamente
rellenados por el navegador. Vayamos un poco mas allá: si un atacante es
capaz de poner dentro de una página de ese mismo dominio un formulario
idéntico pero con un cambio en la dirección de envío, nuestros datos se
rellenarán mediante el mecanismo anteriormente descrito. Gracias a esta
funcionalidad, si nuestro atacante no muestra estos campos, sino que los
genera "ocultos", comprobaremos que esa información se encuentra ahí y
va a ser enviada a una URL controlada por el usuario malicioso.

El mecanismo anteriormente descrito funciona en su totalidad o
parcialmente según el navegador en concreto: por ejemplo, para FireFox
la entrega de datos se podrá realizar sobre otro dominio mientras que
con Internet Explorer la entrega está limitada al dominio en el cual se
recogen los datos.

A continuación se muestra una prueba de concepto que realiza la
obtención de claves de un supuesto usuario legítimo de los servicios de
correo electrónico por web (webmail) de CajaMurcia. En concreto, utiliza
un ataque de Cross-Site Scripting tradicional para inyectar la parte de
código contribuido por el atacante para conseguir generar formularios
donde capturar los datos.

http://www.hispasec.com/laboratorio/RCSR_cajamurcia.html (1,6M)

Si prefiere descargarlo comprimido para su posterior visión:
http://www.hispasec.com/laboratorio/RCSR_cajamurcia.zip (1,2M)

En la prueba se muestra un usuario que introduce su contraseña de
webmail y permite su almacenamiento en el gestor de FireFox, estas
contraseñas como se observa no tienen por qué ser reales, el interés es
que sean almacenadas. Posteriormente, imitando un posible correo de
phishing, el usuario pincha una URL que contiene el Cross-Site Scripting
con los formularios de captura de datos que más tarde, tras su click,
son mostrados sobre la URL de Hispasec.

Desde Hispasec Sistemas recomendamos desactivar la funcionalidad del
administrador de contraseñas tanto de FireFox como de Internet
Explorer ya que la explotación mediante alguno de estos mecanismos
puede provocar el compromiso de nuestras claves almacenadas.


Francisco Santos
fsantos@hispasec.com


Más información:

Bug 360493 - Cross-Site Forms + Password Manager = Security Failure
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

CIS Finds Flaws in Firefox v2 Password Manager
http://www.info-svc.com/news/11-21-2006/

Robo de claves a través de gestores de contraseña
http://blog.hispasec.com/laboratorio/184

lunes, 18 de diciembre de 2006

De compras en el supermercado del malware

eWeek publica una entrevista con Raimund Genes, director de sistemas
de Trend Micro, en el que desvela los distintos precios que se pueden
llegar a pagar por exploits para vulnerabilidades que todavía no han
salido a la luz. Como quien va a al supermercado, existen de todos
los tipos, gustos y precios.

Según parece, Trend Micro logró infiltrase en un especie de subasta
donde se comercializaba con vulnerabilidades y exploits. Desde ahí ha
logrado tomarle el pulso a los baremos económicos en los que se mueven
las mafias informáticas hoy en día.

Por ejemplo, un exploit para una vulnerabilidad no pública que permite
ejecutar código en Windows Vista ronda (según siempre declaraciones de
Genes para eWeek) los 50.000 dólares (38.100 euros aproximadamente).
Para otros sistemas, dependiendo obviamente de su popularidad y de la
gravedad de las vulnerabilidades, los precios rondan los 20.000 a 30.000
dólares, entre 15.000 y 20.000 euros más o menos.

Uno de los tipos de troyanos más habituales hoy día, los que secuestran
máquinas Windows que generan todo ese spam que inunda los buzones
(indicador de la eficacia de estos ataques) se venden por unos 5.000
dólares (3.800 euros). Un troyano "a la carta" capaz de robar
información sensible de cuentas online puede ser comprado por 1.000 ó
5.000 dólares. Un troyano que permita construir todo un botnet se puede
comprar por 5.000 ó 20.000 dólares.

Si la idea de infectar y esperar beneficios no resulta atractiva, se
pueden obtener directamente números de tarjetas de crédito con su
correspondiente PIN por sólo 500 dólares (380 euros). Otros datos
personales se venden por entre 80 y 300 dólares (de 60 a 230 euros).

Y no sólo malware y datos, según Genes, en la subasta también se vendían
licencias de conducir falsas, certificados de nacimiento, números de
seguridad social... Lo más "asequible" son las cuentas de eBay o PayPal,
a 7 dólares cada una (5 euros).

Si estos son los precios que se pagan, los beneficios deben ser
potencialmente mayores si se sabe gestionar el producto, no hay duda. El
conocer cómo aprovechar una vulnerabilidad o un troyano "a la carta" y
por tanto no detectable por la mayoría de antivirus (a no ser que posean
unas excelentes heurísticas) supone un ingreso potencial de dinero que
bien merece una inversión.

Esto demuestra una vez más que los creadores de malware poseen una
motivación real para la producción de este tipo de código. Que es un
"producto" que atiende a un mercado concreto y por tanto se rige por la
ley de oferta y demanda que ha derivado en la situación actual: los
niveles de infección por troyanos bancarios son altísimos, han
desaparecido las infecciones masivas por un único virus, se explotan
nuevas vías de infección (MS Office, principalmente) con numerosos
"0 days" descubiertos, VirusTotal recibe decenas de nuevos troyanos
bancarios al día (la mayoría no detectados)... todo buscando el máximo
beneficio y rendimiento, entendiendo como tal un lucro real, tangible,
económico.

Lejos están los románticos tiempos de gusanos masivos y virus molestos
(pero inocuos a la postre). Estamos hablando de inversión y beneficios,
con el auge de la banca online ha surgido una nueva posibilidad de
negocio, un nuevo nicho de mercado que no ha tardado en ser ocupado y
que, tal es la cantidad de dinero que mueve, que según Genes, éste
superaría ya al volumen que maneja el mercado de las soluciones antimalware.


Sergio de los Santos
ssantos@hispasec.com


Más información:
Hackers Selling Vista Zero-Day Exploit
http://www.eweek.com/article2/0,1759,2073611,00.asp

domingo, 17 de diciembre de 2006

Parche acumulativo para Microsoft Internet Explorer

Dentro del conjunto de boletines de diciembre publicado esta semana por
Microsoft y del que efectuamos un adelanto el pasado martes, se cuenta
el anuncio (en el boletín MS06-072) de una actualización acumulativa
para Internet Explorer, que además solventa un total de cuatro nuevas
vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

Las vulnerabilidades corregidas son las siguientes:

* Una corrupción de memoria a la hora de manejar scripts puede llevar
a la ejecución de código arbitrario.

* Una corrupción de memoria a la hora de manejar scripts DHTML puede
llevar a la ejecución de código arbitrario.

* Dos problemas de revelación de información sensible a través de la
carpeta TIF.

Este boletín reemplaza al boletín previo MS06-067. No afecta a
Internet Explorer 7.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches según versión desde las siguientes direcciones:

* Microsoft Internet Explorer 5.01 Service Pack 4 bajo Windows 2000
Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=1D28E62C-09D3-4F38-BEA3-3FC501449D29&displaylang=es

* Microsoft Internet Explorer 6 Service Pack 1 instalado en Windows
2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=3CFC32FC-85CA-4EDA-890D-5E359F5F0019&displaylang=es

* Microsoft Internet Explorer 6 para Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B321744-B55E-4696-8B2C-B1D31672DA06&displaylang=es

* Microsoft Internet Explorer 6 para Windows XP Professional x64
Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=8D841D1B-D0B1-46AF-87BD-7DAA8C31AF39&displaylang=es

* Microsoft Internet Explorer 6 para Windows Server 2003 y Microsoft
Windows Server 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=3E3A9693-D21B-4214-A16C-3FC22340E600&displaylang=es

* Microsoft Internet Explorer 6 para Windows Server 2003 bajo
Itanium-based Systems y Windows Server 2003 con SP1 bajo Itanium-based
Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=9E3F7A2C-BFE1-48C5-8A8A-64A06BCDF219&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS06-072
Cumulative Security Update for Internet Explorer (925454)
http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx

sábado, 16 de diciembre de 2006

Elevación de privilegios local a través de ld.so en Sun Solaris

Existen dos problemas de seguridad en ld.so de Solaris 8, 9 y 10,
que pueden permitir a un atacante local obtener privilegios de root.

* Existe un desbordamiento de memoria intermedia en la función de
formateo doprf de ld.so.

* Existe un problema de directorio transversal en ld.so que puede
permitir la ejecución local de código como root a través de la
definición de una variable de entorno LANG especialmente manipulada.

Según versión y plataforma, las actualizaciones están disponibles
desde:

Plataforma SPARC:
Solaris 8 descargar 109147-42 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109147-42-1
Solaris 9 descargar 112963-27 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112963-27-1

Plataforma x86:
Solaris 8 descargar 109148-41 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109148-41-1
Solaris 9 descargar 113986-22 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113986-22-1

También se ha publicado un Interim Security Relief (ISRs) para
Solaris 10 disponible desde: http://sunsolve.sun.com/tpatches

Plataforma SPARC:
Para Solaris 10, IDR124828-01

Plataforma x86:
Para Solaris 10, IDR124829-01


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in Solaris ld.so.1(1) may Lead to Execution of Arbitrary Code with Elevated Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102724-1

viernes, 15 de diciembre de 2006

Vulnerabilidad de formato de cadena en gdmchooser de GNOME Display Manager

Se ha encontrado una vulnerabilidad en GNOME Display Manager por la que
un atacante local podría elevar privilegios en el sistema afectado.
gdmchooser es un programa que proporciona funcionalidad XDMCP (X Display
Manager Control Protocol) al GNOME Display Manager. Este protocolo
permite a un usuario interacturar con sistemas remotos a través del X11
local.

Existe un fallo de formato de cadena en la función
gdm_chooser_browser_add_host en el archivo gui/gdmchooser.c a la hora de
procesar nombres de hosts, que puede ser aprovechado para ejecutar
comandos arbitrarios en el sistema con los privilegios del servicio
GNOME Display Manager (gdm). Usuarios locales no autenticados podrían
ejecutar gdmchooser e introducir caracteres especialmente manipulados en
el cuadro de diálogo para lanzar la vulnerabilidad.

La vulnerabilidad fue comunicada al fabricante a través de iDefense el 4
de diciembre de 2006.

Se han publicado versiones no vulnerables (2.14.11, 2.16.4, y 2.17.4)
disponibles desde:
http://ftp.gnome.org/pub/GNOME/sources/gdm, además de que cada
distribución está actualizando ya sus repositorios.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

iDefense Security Advisory 12.14.06: GNOME Foundation Display Manager
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=453

jueves, 14 de diciembre de 2006

Múltiples vulnerabilidades en Symantec Veritas Netbackup

Se han encontrado varias vulnerabilidades en Symantec Veritas Netbackup
que podrían ser aprovechadas por atacantes para ejecutar código
arbitrario.

Symantec Veritas Backup es un popular y completo sistema de
almacenado y restauración de copias de seguridad en red.

Los errores descubiertos son:

* Un error en el servicio principal Netbackup (bpcd.exe) que puede ser
aprovechado a través de encadenado de comandos para hacer que el
servicio ejecute código arbitrario.

* Un error de límites en el servicio principal Netbackup (bpcd.exe) a la
hora de interpretar peticiones largas puede ser aprovechado para
provocar un desbordamiento de memoria intermedia basado en pila si se le
pasa al servicio una petición muy larga con un campo longitud mal formado.

* Existe por último un error de límites también en el servicio principal
Netbackup (bpcd.exe) a la hora de interpretar peticiones CONNECT_OPTIONS
puede ser aprovechado para provocar un desbordamiento de memoria
intermedia basado en pila a través de una petición muy larga.

Las vulnerabilidades fueron comunicadas al fabricante a través de la
iniciativa Zero Day de TippingPoint el 14 de agosto de 2006.

Las versiones afectadas son:
Veritas NetBackup Advanced Client 5.x y 6.x
Veritas NetBackup Enterprise Server 5.x y 6.x
Veritas NetBackup Server 5.x y 6.x

Se recomienda aplicar los parches disponibles desde:
http://seer.support.veritas.com/docs/285082.htm


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerabilities in NetBackup Server and Clients
http://securityresponse.symantec.com/avcenter/security/Content/2006.12.13a.html

miércoles, 13 de diciembre de 2006

Siete boletines de seguridad de Microsoft en diciembre

Como cada segundo martes de mes, Microsoft ha publicado sus ya
habituales boletines de seguridad. En esta ocasión, finaliza el año
con siete nuevos boletines (MS06-072 al MS06-078).

Según la propia clasificación de Microsoft tres de los nuevos boletines
presentan un nivel de gravedad "crítico", mientras que los cuatro
restantes reciben la calificación de "importante".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

* MS06-072: Actualización acumulativa para Microsoft Internet Explorer
que además soluciona cuatro nuevas vulnerabilidades que podrían permitir
la ejecución remota de código arbitrario o la divulgación de información
sensible. Según la calificación de Microsoft está calificado como
"crítico". Afecta a Internet Explorer 5.01 e Internet Explorer 6.

* MS06-073: Se trata de una actualización para evitar una vulnerabilidad
en Visual Studio 2005 que permite ejecución remota de código. Está
calificado como "crítico".

* MS06-074: Destinado a solucionar una vulnerabilidad en SNMP
que puede permitir a un atacante remoto ejecutar código arbitrario.
Según la calificación de Microsoft está calificado como "Importante".
Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS06-075: Se trata de una actualización para Microsoft Windows debido
a que se ha detectado una vulnerabilidad que pueden permitir la elevación
de privilegios en el sistema. También recibe una calificación de
"importante". Afecta a Windows XP y Windows Server 2003.

* MS06-076: Actualización acumulativa para Outlook Express que además
soluciona una nueva vulnerabilidad que podría permitir la ejecución
remota de código arbitrario. Según la calificación de Microsoft está
calificado como "importante". Afecta a Outlook Express 5.5 y 6.

* MS06-077: En este boletín se anuncian los parches de actualización
necesarios para solventar una vulnerabilidad en Remote Installation
service (RIS). Afecta a Windows 2000. Está calificado como "importante".

* MS06-078: Soluciona dos vulnerabilidades en Windows Media Player que
pueden permitir a un atacante remoto la ejecución de código arbitrario.
Está calificado como "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for December, 2006
http://www.microsoft.com/technet/security/bulletin/ms06-dec.mspx

Microsoft Security Bulletin MS06-072
Cumulative Security Update for Internet Explorer (925454)
http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx

Microsoft Security Bulletin MS06-073
Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-073.mspx

Microsoft Security Bulletin MS06-074
Vulnerability in SNMP Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-074.mspx

Microsoft Security Bulletin MS06-075
Vulnerability in Windows Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/Bulletin/MS06-075.mspx

Microsoft Security Bulletin MS06-076
Cumulative Security Update for Outlook Express
http://www.microsoft.com/technet/security/Bulletin/MS06-076.mspx

Microsoft Security Bulletin MS06-077
Vulnerability in Remote Installation Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-077.mspx

Microsoft Security Bulletin MS06-078
Vulnerability in Windows Media Format Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-078.mspx

martes, 12 de diciembre de 2006

Descubiertas tres vulnerabilidades "0 day" en productos Microsoft

Esta semana se han encontrado dos vulnerabilidades de tipo 0 day en
Microsoft Word. Esto vuelve a posicionar a Office como el vector de
ataque preferido para la infección de sistemas a través del
aprovechamiento de vulnerabilidades hechas públicas cuando ya están
siendo explotadas. También se ha publicado una prueba de concepto que
permite ejecución de código a través de ficheros ASX de Windows Media
Player.

El 6 de diciembre Microsoft publicaba un aviso oficial sobre un
ataque detectado que se valía de una vulnerabilidad en Word. El problema
afectaría a Microsoft Word 2000, 2002, 2003, Word Viewer 2003, Word 2004
para Mac y Word 2004 v. X para Mac. También a Microsoft Works 2004, 2005
y 2006.

La vulnerabilidad está provocada por un error no especificado en el
tratamiento de documentos Word y puede ser aprovechada para causar una
corrupción de memoria, que puede conllevar una ejecución de código
arbitrario. Microsoft hablaba del descubrimiento de ataques limitados
que podrían afectar de una forma muy concreta a pocas empresas u
organizaciones contra las que iría dirigido específicamente. Aunque esto
por ahora limite el alcance del problema, no es motivo para restar
gravedad al fallo. Los detalles pueden ser cedidos, investigados o
publicados en cualquier momento y afectar a un gran número de personas.

Nuevamente, el día 10 Microsoft alertaba de un nuevo problema en Word
(al parecer descubierto por McAfee a través de una muestra infectada),
sobre el que no daba detalles, pero que especificaba era distinto al
encontrado unos días antes. En esta ocasión afectaba a Microsoft Word
2000, 2002, 2003 y Word Viewer 2003. Word 2007 no se ve afectado.
Microsoft hablaba de ataques aún más limitados. El fallo también
permitiría la ejecución de código.

Entre estas dos alertas, el día siete, se encuentra una nueva
vulnerabilidad en Windows Media Player que puede ser aprovechada por
atacantes para provocar una denegación de servicio. El fallo en Windows
Media Player se debe a un error de límites a la hora de manejar
etiquetas "REF HREF" en listas de reproducción ASX. Esto puede ser
aprovechado para provocar un desbordamiento de memoria intermedia basado
en heap en el fichero WMVCORE.DLL a través de una cadena larga con una
URL inválida. Es muy posible que el problema permita la ejecución de
código arbitrario. Los ficheros ASX se abren automáticamente si son
vistos a través del navegador, lo que puede facilitar el ataque aunque
no se utilice el programa.

Para mitigar los problemas con Word, se recomienda como siempre no abrir
archivos adjuntos en formato DOC no solicitados. Observando la cantidad
de vulnerabilidades que están siendo aprovechadas de forma continua en
este producto en concreto, también es recomendable utilizar cuando sea
posible alternativas como OpenOffice. En el caso de la vulnerabilidad en
Windows Media Player, se recomienda además desasociar la extensión ASX
con el programa. En cualquier caso, también, disminuir los privilegios
con los que se trabaja sobre el sistema para limitar el impacto de un
posible ataque.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Microsoft Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/929433.mspx

Public Proof of Concept Code for ASX File Format Isssue
http://blogs.technet.com/msrc/archive/2006/12/07/public-proof-of-concept-code-for-asx-file-format-isssue.aspx

New Report of A Word Zero Day
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx

lunes, 11 de diciembre de 2006

Vulnerabilidad en listas de ASX de Microsoft Windows Media Player 10.x

Se ha encontrado una vulnerabilidad en Windows Media Player que pude
ser aprovechada por atacantes para provocar una denegación de servicio
o potencialmente ejecutar código arbitrario.

El fallo se debe a un error de límites a la hora de manejar etiquetas
"REF HREF" en listas de reproducción ASX. Esto puede ser aprovechado
para provocar un desbordamiento de memoria intermedia basado en heap
a través de una cadena larga con una URL inválida.

Es posible que el problema permita la ejecución de código arbitrario.
El fallo ha sido confirmado en la versión 10.00.00.4036 aunque otras
pueden verse afectadas, además cabe señalar que existe una prueba de
concepto de la vulnerabilidad.

No existe parche oficial, aunque Microsoft ha conformado que se
encuentra investigando el problema y los posibles vectores de
ataque asociados. Se recomienda no abrir listas de reproducción
no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Public Proof of Concept Code for ASX File Format Isssue
http://blogs.technet.com/msrc/archive/2006/12/07/public-proof-of-concept-code-for-asx-file-format-isssue.aspx

domingo, 10 de diciembre de 2006

Nuevos contenidos en CriptoRed (noviembre de 2006)

Breve resumen de las novedades producidas durante el mes de noviembre
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN NOVIEMBRE

* ISO 27001: Los Controles. Parte I (Argentina)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

2. SOFTWARE NUEVO PARA SU DESCARGA EN NOVIEMBRE

* Seis Programas de Esquemas Criptográficos Basados en Identidad con
Mapeo de Tate (México)
http://computacion.cs.cinvestav.mx/~jjangel/Pagina_Tate.html

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL �2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/default.aspx

* Diciembre 6, 7 y 8 de 2006: Celebración de InfoSecurity 2006
San Juan - Puerto Rico
http://www.infosecurityonline.org/infosecurity/eventos/prico/sanjuan2006.php

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

* Abril 18 al 20 de 2007: 3rd International Conference on Global
E-Security ICGeS �07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

* Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its
Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Mayo 14 al 17 de 2007: Euro American Conference on Telematics and
Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference
(Sevilla - España)
http://www.first.org/conference/2007/

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2006

* Primer Congreso Cátedra CAPSDESI y Día Internacional de la Seguridad
de la Información DISI en Madrid (España)
http://www.capsdesi.upm.es/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 601
(172 universidades; 213 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 41.287 visitas, 86.959 páginas solicitadas y 38,52
GigaBytes servidos en noviembre de 2006.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

noviembre de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#nov06

sábado, 9 de diciembre de 2006

Vulnerabilidad en Sun Java System Proxy y Web Server HTTP

Sun ha anunciado una vulnerabilidad que afecta a Sun Java System
Proxy Server si se utiliza en conjunto con Sun Java System Application
Server o Sun Java System Web Server, que podría permitir secuestrar
sesiones, realizar ataques de tipo cross site scripting o eludir
restricciones del cortafuegos.

El problema reside en que Sun Java System Proxy Server al emplearse
junto con Sun Java System Application Server o Sun Java System Web
Server, podría ser susceptible de ataques tipo "HTTP Request Smuggling"
(HRS) que podrían permitir a un usuario remoto no privilegiado envenenar
cachés web. Un atacante podría emplear esto para secuestrar sesiones,
realizar ataques de tipo cross site scripting o eludir restricciones
del cortafuegos.

El fallo se basa en el menajo incorrecto de cabeceras que contengan
las etiquetas "Transfer-Encoding: chunked" y "Content-Length"

Sun ha publicado las siguientes actualizaciones para solventar el problema:

Para plataforma SPARC:
Sun Java System Proxy Server 3.6 Service Pack 8 o posterior, disponible
desde:
http://www.sun.com/download/products.xml?id=42fa5c49

Sun Java System Proxy Server 4.0 Service Pack 1 o posterior, disponible
desde:
http://www.sun.com/download/products.xml?id=4384b5dd

Sun Java System Web Server 6.0 Service Pack 10 o posterior, disponible
desde:
http://www.sun.com/download/products.xml?id=43a84f89

Sun Java System Web Server 6.1 2005Q1 Service Pack 5 o posterior,
disponible desde:
http://www.sun.com/download/products.xml?id=434aec1d
http://www.sun.com/download/products.xml?id=43c43041 (International
Edition)

Sun ONE Application Server 7 Update 8 o posterior, disponible desde:
http://www.sun.com/download/products.xml?id=438cfb75 (Platform
Edition)
http://www.sun.com/download/products.xml?id=438cf33d (Standard
Edition)

Sun Java System Application Server 7 2004Q2 Update 4 o posterior,
disponible desde:
http://www.sun.com/download/products.xml?id=4331ff42 (Standard
Edition)

Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con
parche 119169-02
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119169-02-1
o (SVR4) parche 119166-09
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119166-09-1
o posterior
Sun Java System Application Server Platform Edition 8.1 2005 Q1 con
parche 119173-01 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119173-01-1

Para plataforma x86:
Sun Java System Application Server Platform Edition 8.1 2005 Q1 con
parche 119174-01 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119174-01-1
Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con
parche 119170-02
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119170-02-1
o (SVR4) parche 119167-09 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119167-09-1

Platforma Linux
Sun Java System Application Server Platform Edition 8.1 2005 Q1 con
parche 119175-01 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119175-01-1
Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con
parche 119171-02
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119171-02-1
o (Pkg) parche 119168-09 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119168-09-1

Platforma Windows
Sun Java System Application Server Platform Edition 8.1 2005 Q1 con
parche 119176-01 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119176-01-1
Sun Java System Application Server Enterprise Edition 8.1 2005 Q1 con
parche 119172-07
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119172-07-1
o (native) parche 121528-01
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121528-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability With HTTP Requests in Sun Java System Server(s)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102733-1

viernes, 8 de diciembre de 2006

Vulnerabilidades en SAP Internet Graphics Service 6 y 7

Se han descubierto dos vulnerabilidades en SAP Internet Graphics
Service (versiones 6.40 y 7.00) que pueden ser explotadas por usuarios
maliciosos para acceder a información sensible, saltarse mecanismos de
seguridad, manipular datos o provocar denegaciones de servicio.

* Un error de validación de entradas puede ser explotado para borrar
cualquier archivo en el sistema utilizando una peticicón HTTP
maliciosa.
* Algunas características no documentadas sin especificar pueden ser
utilizadas para apagar el sistema, acceder a diversos archivos de
configuración o realizar ciertas acciones no autorizadas.

Se recomienda aplicar los parches oficiales (ver SAP Notes 959358 y
965201).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SAP Internet Graphics Service (IGS) Remote Arbitrary File Removal
http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Remote_Arbitrary_File_Removal.pdf

jueves, 7 de diciembre de 2006

Escalada de privilegios en drivers de adaptadores de red Intel

Intel ha publicado actualizaciones para múltiples versiones de sus
controladores de adaptadores de red. Esta publicación se debe al
descubrimiento por parte de la compañía eEye de la existencia de una
vulnerabilidad en todos sus drivers de adaptadoras de red PCI, PCI-X
y PCIe que podrían permitir a atacantes locales realizar escaladas
de privilegios.

Este problema afectaría a las siguientes versiones de drivers para
adaptadores (según versión y plataforma):
* Windows: Intel PRO 10/100 8.x, PRO/1000 8.x, PRO/1000 PCIe 9.x
* Linux: Intel PRO 10/100 3.x, PRO/1000 7.x, PRO/10GbE 1.x
* UnixWare/SCO6: Intel PRO 10/100 4.x, PRO/1000 9.x

El problema se debe a la existencia de un error que puede ser explotado
para provocar un desbordamiento de búfer al utilizar de forma
incorrecta una llamada a cierta función no especificada por el
fabricante. Esta circunstancia permitiría al atacante local ejecutar
código arbitrario con privilegios a nivel de kernel.

Intel recomienda aplicar los parches especificados en su notificación
de alerta oficial, disponible en esta dirección:
http://www.intel.com/support/network/sb/CS-023726.htm


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:
Intel® LAN Driver Buffer Overflow Local Privilege Escalation
http://www.intel.com/support/network/sb/CS-023726.htm

miércoles, 6 de diciembre de 2006

Vulnerabilidad en Microsoft Word puede permitir la ejecución remota de código

Microsoft ha publicado un aviso de seguridad para informar que se
encuentra investigando una nueva vulnerabilidad, hecha publica en
forma de "0 day" que afecta a Microsoft Word y podría permitir la
ejecución remota de código arbitrario.

El problema afectaría a Microsoft Word 2000, Word 2002, Office Word
2003, Word Viewer 2003, Word 2004 para Mac y Word 2004 v. X para Mac.
También a Microsoft Works 2004, 2005 y 2006.

La vulnerabilidad está provocada por un error no especificado en el
tratamiento de documentos Word y puede ser explotada para provocar
una degradación de memoria, que puede conllevar una ejecución de
código arbitrario.

Como es habitual, se recomienda no abrir documentos que provengan
de fuentes desconocidas.


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in Microsoft Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/929433.mspx

martes, 5 de diciembre de 2006

Múltiples desbordamientos de búfer en IBM Tivoli Storage Manager 5.x

Se han descubierto diversas vulnerabilidades en algunas versiones de
la rama 5.x de Tivoli Storage Manager de IBM que pueden ser explotadas
por usuario maliciosos para provocar denegaciones de servicio y
potencialmente para comprometer sistemas afectados.

* La primera se debe a un error a la hora de procesar el campo de
lenguaje en la petición de identificación, concretamente cuando el
primer byte de la cadena tiene el valor 18 hexadecimal. Esta
circunstancia puede ser explotada para provocar desbordamientos de
búfer al enviar un mensaje especialmente construido con un campo de
lenguaje muy largo.
* Varios problemas de tamaño de variables se han localizado en el
tratamiento de ciertos campos de mensajes de la función
SmExecuteWdsfSession(). Esto puede ser explotado por un atacante
para provocar desbordamientos de búfer al enviar mensajes maliciosos
al sistema blanco del ataque.
* Un problema de tratamiento de tamaños de variables en el tratamiento
de mensajes de registro abierto puede ser explotado para provocar
desbordamientos de búfer.

La explotación con éxito de las vulnerabilidades podrían permitir a
un atacante provocar la ejecución de código arbitrario.

Las versiones afectadas de Tivoli Storage Manager son las menores a la
5.2.9 y a la 5.3.4.

Se recomienda aplicar el parche ofrecido por IBM (APAR IC50347).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Tivoli Storage Manager Requests Handling Remote Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4856

lunes, 4 de diciembre de 2006

Cancelada la semana de fallos en Oracle

Cesar Cerrudo ha anunciado la cancelación de la semana se fallos en
Oracle, que hubiese comenzado la primera semana de diciembre. Su
suspensión ha levantado todo tipo de sospechas, y Cerrudo ha reconocido
finalmente haber cometido errores.

Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", y LMH en noviembre con la iniciativa "mes de los errores
en el núcleo" Cesar Cerrudo anunció "la semana de fallos en Oracle". La
WoODB se iba a centrar en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa fuese
más corta que las anteriores no quería decir que no existan errores
suficientes. Su creador indicaba que bien podrían hacer "el año de los
fallos en Oracle" sin ningún problema.

Pero pocos días después se anunció su suspensión por motivos no
precisados. La primera reacción de la comunidad ha sido acusar a Cerrudo
de valerse del anuncio (en el que pedía vulnerabilidades a los
investigadores para ser publicadas durante la semana) para apoderarse de
estos fallos (0 day). Cerrudo se excusa y pide perdón por los problemas
causados, pero niega que esa fuera su intención. Para los que
especulasen con la posibilidad de que Oracle le hubiese presionado,
Cerrudo afirma que no se han puesto en contacto con él para nada, que lo
esperaba, que como es habitual, no les importa la seguridad en absoluto.
El motivo que dio más tarde es que uno de sus clientes se vería
indirectamente afectado por la revelación de estos fallos y podría
causarle problemas: "no que sus bases de datos fuesen hackeadas, sino
serios problemas de negocio".

Cerrudo sigue afirmando que efectivamente tiene esos fallos en su poder.
Teniendo en cuenta el historial de Oracle y del propio Cerrudo no hay
muchos motivos para dudar de ello. Cesar Cerrudo y David Litchfield,
ambos expertos en seguridad en bases de datos, coinciden el que la
seguridad de Oracle es un completo desastre.

En relación a esta campaña abortada, los fallos de Cesar han sido
varios. Quizás no debía haber anunciado el proyecto con tanta antelación
y sin total seguridad de poder llevarlo a cabo. Además, como director de
una empresa, debió tener en cuenta que este tipo de iniciativas podrían
chocar directamente con ciertos intereses, como ha ocurrido. Quizás sea
más interesante, como ha pasado anteriormente, realizar estos
experimentos desde el anonimato.

Por último, otro error probablemente haya sido el centrarse en un solo
producto. "La semana de los fallos en servidores de bases de datos",
por ejemplo, hubiese permitido pensar al menos en un principio, en un
reparto más o menos proporcionado entre distintos servidores y no un
acuse directo a un producto de una compañía concreta. Aunque, quizás
en la práctica, una iniciativa genérica tampoco hubiese cambiado mucho
la intención del anuncio. Abundan mucho más los fallos en Oracle,
descubiertos y por descubrir que en otras base de datos. Ya lo destacaba
Litchfield hace poco en un informe, en el que comparaba Microsoft SQL
Server (ningún fallo de seguridad en su año y pico de vida) con una
desastrosa marca para Oracle.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Dailydave Archives:
http://lists.immunitysec.com/pipermail/dailydave/

domingo, 3 de diciembre de 2006

Resumen del mes de los fallos en el núcleo

El mes de los fallos en el núcleo ha llegado a su fin no sin ciertas
sorpresas. Entre las más llamativas, el descubrimiento de una
vulnerabilidad muy grave por su ubicuidad, y la especial incidencia
de errores y vulnerabilidades encontradas en Mac OS X y Linux 2.6.x.

En cifras, los errores descubiertos quedan así:

* Once fallos en la rama 2.6.x de Linux, la mayoría relacionados con
el montaje de sistemas de ficheros. Preocupan especialmente por su
popularidad los fallos en el montaje de ext3, ext2, NTFS y ReiserFS. La
mayor parte de los fallos han sido comprobados en Fedora Core, pero es
bastante probable que funcionen en otras distribuciones con el mismo
núcleo. La mayoría no pueden considerarse muy graves, por ahora.

* Dos fallos en el núcleo de FreeBSD, ambos al montar sistemas de
ficheros UFS.

* Un fallo en Solaris 10, también al montar sistemas de ficheros UFS.

* Ocho fallos en Mac OS X. Entre ellos un grave problema en DMG, formato
muy común de instalación en entornos Mac. Una falta de comprobación
permite provocar un "kernel panic" o potencialmente, ejecutar código si
el usuario abre una imagen especialmente manipulada. Además del kernel,
algunas herramientas del sistema se han visto afectadas por alguno de
estos problemas. Se rumoreó igualmente que el fallo DMG estaba siendo
ya aprovechado de forma masiva.

* Tres fallos en controladores NetGear, dos de ellos permitirían la
ejecución de código arbitrario a nivel de kernel.

* Un fallo en controladores D-Link, que permitía potencialmente la
ejecución de código.

* Un fallo en Microsoft Windows, que permitiría provocar una denegación
de servicio (pantallazo azul) o escalar privilegios a través de GDI .

* Dos fallos en Apple Airport, que venían a confirmar una de las pruebas
a las que en principio se calificó de fraude en una reciente conferencia
Black Hat.

* Un fallo en controladores inalámbricos de Broadcom. Este es el que ha
causado más revuelo. El controlador de dispositivo inalámbrico Broadcom
(BCMWL5.SYS) era vulnerable a un desbordamiento de memoria intermedia
basado en pila que permitía la ejecución de código arbitrario en modo
núcleo. Se proporciona unido a los sistemas de muchos fabricantes y el
fallo, con exploit público, podía ser aprovechado sin interacción por
parte del usuario. Para colmo, era complicado delimitar la
responsabilidad de publicar un parche.

Todos los fallos y vulnerabilidades han ido acompañados de sus
correspondientes pruebas de concepto, junto con información más o menos
detallada. En este sentido su objetivo de "mostrar herramientas y
procedimientos que ayuden a mejorar la calidad de los núcleos de
cualquier sistema operativo" se ha cumplido. Curiosamente ha sido en la
última, la del día 30 de noviembre, en la que se han reservado
información en un acuerdo con Apple hasta que exista parche.

Obviamente estas cifras no se pueden considerar evidencias para medir
la seguridad. Aunque sí que ha servido para desvelar algunas amenazas
serias y ayudará por ejemplo, a vigilar la estabilidad y seguridad del
proceso de montaje de sistemas de ficheros en Linux, al que se han
encontrado tantos errores potenciales.

Para muy pocos de los 30 fallos existen soluciones a día de hoy.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Month of kernel bugs
http://kernelfun.blogspot.com/

(13/11/2006) Ejecución de código en múltiples dispositivos inalámbricos a
través del controlador Broadcom NIDS
http://www.hispasec.com/unaaldia/2942

sábado, 2 de diciembre de 2006

Ejecución de código a través de AcroPDF.dll en Acrobat y Adobe Reader 7

Se han identificado múltiples vulnerabilidades en Adobe Reader y
Acrobat que pueden ser aprovechadas por atacantes para ejecutar código
arbitrario en el sistema víctima.

Los fallos se deben a una corrupción de memoria en el control ActiveX
AcroPDF (AcroPDF.dll) que no maneja adecuadamente argumentos mal
formados pasados a los métodos src, setPageMode, setLayoutMode,
setNamedDest y LoadFile. Esto puede ser aprovechado por atacantes
remotos para ejecutar código arbitrario si un usuario visita una
página especialmente manipulada.

Las versiones afectadas son:

Adobe Reader versiones 7.0.0 a 7.0.8
Adobe Acrobat Standard versiones 7.0.0 a 7.0.8
Adobe Acrobat Professional versiones 7.0.0 a 7.0.8

Se recomienda establecer el kill bit para el CLSID
{CA8A9780-280D-11CF-A24D-444553540000} o renombrar el fichero
AcroPDF.dll.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Adobe Acrobat Buffer Overflow in 'AcroPDF.dll' ActiveX May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Nov/1017297.html

Potential vulnerabilities in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa06-02.html

viernes, 1 de diciembre de 2006

Parche acumulativo para Mac OS X corrige hasta 31 vulnerabilidades

Apple ha publicado sus habituales parches acumulativos, en esta ocasión
el séptimo del año y en el que corrige hasta 31 fallos de seguridad
distintos que permiten escaladas de privilegios, denegaciones de
servicio, ejecución de código remoto y local y saltos de restricciones
de seguridad.

Alguno de los errores más graves:

Un fallo en los controladores inalámbricos Airport que afecta a muchos
sistemas Mac y que permite ejecución de código remota. El fallo fue
descubierto por HD Moore a principios de mes.

Varios errores en el servidor Apple Type Services que permiten a
atacantes locales sobrescribir o crear ficheros arbitrarios con
privilegios de sistema.

Existe también un desbordamiento de memoria intermedia basado en heap en
el Finder a la hora de navegar por directorios que contengan un fichero
.DS_Store especialmente manipulado. Esto puede permitir a atacantes
locales ejecutar código con los privilegios del usuario Finder.

Un fallo en Installer, permite a atacantes instalar ciertos paquetes sin
necesidad de credenciales de administrador.

Existe un desbordamiento de memoria intermedia en PPP (Point to Point
Protocol) a la hora de manejar tráfico PPPoE (Point to Point Protocol
over Ethernet) que permite a atacantes en la red local ejecutar código
arbitrario.

Security Framework permite a atacantes eludir varias restricciones de
seguridad.

Se han publicado actualizaciones además para ftpd, CFNetwork, Online
Certificate Status Protocol (OCSP), VPN, WebKit, gzip, ClamAV, OpenSSL,
Perl, PHP, Samba...

Entre las numerosas correcciones, parece que no se han publicado
demasiadas para combatir el particular acoso que "el mes de los fallos
en el núcleo" está realizando contra los sistemas de Apple. La mayoría
de los errores publicados por ahora, descubren problemas más o menos
graves para su sistema operativo. Por lo tanto, incluso después de este
parche acumulativo, a Apple le quedan todavía muchas vulnerabilidades
que investigar.

Se recomienda actualizar a través de las herramientas automáticas o de
la página oficial:

10.3.9 Cliente:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12175&cat=1&platform=osx&method=sa/SecUpd2006-007Pan.dmg

10.3.9 Servidor:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12177&cat=1&platform=osx&method=sa/SecUpdSrvr2006-007Pan.dmg

10.4.8 Cliente Intel:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12176&cat=1&platform=osx&method=sa/SecUpd2006-007Intel.dmg

10.4.8 Cliente PPC:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12178&cat=1&platform=osx&method=sa/SecUpd2006-007Ti.dmg

10.4.8 Servidor PPC:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12179&cat=1&platform=osx&method=sa/SecUpdSrvr2006-007Ti.dmg

10.4.8 Servidor Universal:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=12180&cat=1&platform=osx&method=sa/SecUpdSrvr2006-007Universal.dmg


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apple Downloads:
http://www.apple.com/support/downloads/

Apple Patches 31 Security Holes
http://blog.washingtonpost.com/securityfix/2006/11/apple_patches_fix_31_security_1.html